Traagheid van site vanwege CRL-controle van SharePoint STS-certificaat

  • Artikel
  • Van toepassing op:
    SharePoint Foundation 2010, SharePoint Server 2010

Symptomen

Stel dat u een webtoepassing hebt die gebruikmaakt van verificatie op basis van claims in SharePoint Foundation 2010 of SharePoint Server 2010. De SharePoint-server heeft geen toegang tot internet of de server wordt beveiligd door een firewall die beperkte poorten heeft geopend. In deze situatie ondervinden gebruikers af en toe lange vertragingen wanneer ze bepaalde bewerkingen uitvoeren, zoals aanmelden bij de site of het uitvoeren van een zoekopdracht. Gebruikers kunnen ook HTTP-time-outs tegenkomen wanneer ze deze bewerkingen uitvoeren.

Oorzaak

SharePoint gebruikt certificaten om beveiligingstokens te ondertekenen die zijn uitgegeven door de Security Token Service (STS). Net als alle certificaten moet de geldigheid van het STS-certificaat periodiek worden gecontroleerd om ervoor te zorgen dat het certificaat niet is ingetrokken. Standaard wordt het basiscertificaat in de keten niet toegevoegd aan het archief vertrouwde basiscertificeringsinstanties van de SharePoint-servers. Daarom wordt de controle van de certificaatintrekkingslijst (CRL) op het certificaat via internet uitgevoerd. Als de online CRL-server om een of andere reden niet kan worden bereikt vanaf de SharePoint-server, treedt er standaard een time-out op na 15 seconden. Zelfs als de CRL-validatie na 15 seconden mislukt, kan de SharePoint-pagina na de vertraging nog steeds worden weergegeven.

Certificaatvalidatiefouten kunnen worden bijgehouden door de CAPI2-gebeurtenislogboekregistratie in te schakelen op de SharePoint-server. Wanneer CAPI2-gebeurtenislogboekregistratie is ingeschakeld en de validatie van internetcertificaten mislukt, ziet u vaak de volgende foutberichten in het CAPI2-gebeurtenislogboek:

  • Build Chain-fout

    Gebeurtenis-id: 11
    Taakcategorie: Build Chain
    subjectName (overgenomen uit gebeurtenisdetails): SharePoint Security Token Service

  • Object ophalen uit netwerkfout

    Gebeurtenis-id: 53
    Taakcategorie: Object ophalen uit netwerk

    URL (overgenomen uit gebeurtenisdetails): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Raadpleeg de sectie 'Meer informatie' voor informatie over het inschakelen van CAPI2-logboekregistratie.

Oplossing

Voer een van de volgende tijdelijke oplossingen uit om dit probleem op te lossen:

Tijdelijke oplossing 1

Installeer het SharePoint Root Authority-certificaat in het archief Vertrouwde basiscertificeringsinstanties. Nadat het basiscertificaat is toegevoegd aan het lokale certificaatarchief, wordt de certificaatvalidatie niet meer uitgevoerd via internet. De onderstaande stappen zorgen ervoor dat de BuildChain slaagt door het certificaat te vinden in het lokale archief, waardoor het ophalen van een object uit het netwerk niet meer nodig is. De volgende stappen moeten worden uitgevoerd op elke SharePoint-server in de farm om het basiscertificaat toe te voegen aan het lokale certificaatarchief:

  1. Exporteer het SharePoint Root Authority-certificaat als een fysiek (.cer)-bestand. Start de SharePoint 2010-beheershell als beheerder en voer vervolgens de volgende Windows PowerShell opdrachten uit:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Opmerking Hiermee exporteert u het interne basiscertificaat (.cer bestand) voor SharePoint naar station C. U kunt dit bestand kopiƫren en gebruiken op alle servers in de farm voor importeren zonder dat u de PowerShell-opdrachten opnieuw hoeft uit te voeren.

  2. Importeer het SharePoint Root Authority-certificaat in het archief Vertrouwde basiscertificeringsinstanties. Voer de volgende stappen uit om het SharePoint Root Authority-certificaat toe te voegen aan het archief vertrouwde basiscertificeringsinstanties:

    Opmerking 'Beheerders' is het minimaal vereiste groepslidmaatschap om deze stappen te voltooien.

    1. Tik of klik op Start, typ mmc in Zoekopdracht starten en druk op Enter.
    2. Klik in het menu Bestand op Module toevoegen/verwijderen.
    3. Klik onder Beschikbare modules op Certificaten en klik vervolgens op Toevoegen.
    4. Selecteer onder Deze module beheert altijd certificaten voorde optie Computeraccount en klik vervolgens op Volgende.
    5. Selecteer Lokale computer en klik vervolgens op Voltooien.
    6. Als u geen modules meer hebt om toe te voegen aan de console, klikt u op OK.
    7. Dubbelklik in de consolestructuur op Certificaten.
    8. Klik met de rechtermuisknop op het archief Vertrouwde basiscertificeringsinstanties.
    9. Klik op Alle taken, klik op Importeren om het certificaat te importeren en volg de stappen in de wizard Certificaat importeren.

Tijdelijke oplossing 2

Schakel het automatisch bijwerken van basiscertificaten op de SharePoint-servers uit. Ga hiervoor als volgt te werk:

  1. Dubbelklik onder het knooppunt Computerconfiguratie in de lokale groepsbeleid Editor op Beleid.
  2. Dubbelklik op Windows-instellingen, dubbelklik op Beveiligingsinstellingen en dubbelklik vervolgens op Beleid voor openbare sleutels.
  3. Dubbelklik in het deelvenster Details op Validatie-instellingen voor certificaatpad.
  4. Klik op het tabblad Netwerk ophalen , schakel het selectievakje Deze beleidsinstellingen definiƫren in en schakel het selectievakje Certificaten automatisch bijwerken in het Microsoft-basiscertificaatprogramma (aanbevolen) uit.
  5. Klik op OK en sluit vervolgens de lokale groepsbeleid Editor.
  6. Voer gpupdate/force uit om het beleid onmiddellijk van kracht te laten worden.

Opmerking Als automatisch bijwerken is uitgeschakeld, moet u mogelijk controleren op nieuwe releases en vervolgens de certificaatvertrouwensrelatie zo nodig handmatig bijwerken.

Gevolgen van het uitschakelen van automatische updates van basiscertificaten

Er mogen geen specifieke gevolgen zijn voor SharePoint, omdat we zelfondertekende certificaten gebruiken en deze zelf beheren. De SharePoint-certificaten hebben een vervaldatum, maar er is een statusregel die hierop let en vervolgens de beheerder waarschuwt om ze bij te werken of opnieuw uit te rollen.

Het belangrijkste aspect waarmee u rekening moet houden, is voor andere certificaten die op de computer worden gebruikt (zoals SSL-certificaten, certificaten om downloadpakketten te vertrouwen of voor veiliger beleid, enzovoort) die worden uitgegeven vanuit certificaten die zijn gekoppeld aan die in het archief vertrouwde basiscertificeringsinstanties.

Meer informatie

Het CAPI2-logboek inschakelen en opslaan vanuit de gebruikersinterface van Logboeken

  1. Logboeken openen. Als u Logboeken wilt openen, klikt u op Start, klikt u op Configuratiescherm, dubbelklikt u op Systeembeheer en dubbelklikt u vervolgens op Logboeken.
  2. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie is wat u wilt uitvoeren en klikt u vervolgens op Doorgaan.
  3. Vouw in het deelvenster Console Logboeken uit, vouw Toepassingen en serviceslogboeken uit, vouw Microsoft uit, vouw Windows uit en vouw vervolgens CAPI2 uit.
  4. U kunt nu de volgende acties uitvoeren:

    • Als u CAPI2-logboekregistratie wilt inschakelen, klikt u met de rechtermuisknop op Operationeel en selecteert u Logboek inschakelen.

    • Als u het logboek wilt opslaan in een bestand, klikt u met de rechtermuisknop op Operationeel en selecteert u vervolgens Gebeurtenissen opslaan als. U kunt het logboekbestand opslaan in de EVTX-indeling (die kan worden geopend via de Logboeken) of in de XML-indeling.

    • Als u CAPI2-logboekregistratie wilt uitschakelen, klikt u met de rechtermuisknop op Operationeel en selecteert u Logboek uitschakelen.

    • Als er gegevens aanwezig zijn in het logboek voordat u het probleem probeert te reproduceren, raden we u aan het logboek te wissen. Hierdoor kunnen alleen de gegevens die relevant zijn voor het probleemscenario worden verzameld uit het opgeslagen logboek. Als u het logboek wilt wissen, klikt u met de rechtermuisknop op Operationeel en selecteert u Vervolgens Logboek wissen.

    • Voor diagnostische gegevens van CAPI2 kan het logboek snel groter worden en wordt u aangeraden de logboekgrootte te vergroten naar ten minste 4 MB (MEGABYTES) om relevante gebeurtenissen vast te leggen. Als u de logboekgrootte wilt vergroten, klikt u met de rechtermuisknop op Operationeel en selecteert u vervolgens Eigenschappen. Verhoog in de logboekeigenschappen de maximale logboekgrootte.

      Opmerking De standaardgrootte voor het gebeurtenislogboek is 1 MB.

Meer hulp nodig? Ga naar SharePoint-community.